Estrutura de enterprise do Azure: Governação de subscrições prescritivaAzure enterprise scaffold: Prescriptive subscription governance

As empresas estão cada vez mais adotando da cloud pública para sua agilidade e flexibilidade.Enterprises are increasingly adopting the public cloud for its agility and flexibility. Que utilizem pontos fortes a cloud para gerar receitas e otimizar a utilização de recursos para o negócio.They utilize the cloud's strengths to generate revenue and optimize resource usage for the business. Microsoft Azure oferece uma infinidade de serviços e recursos que as empresas montarem, como os blocos de construção para resolver um vasto leque de aplicações e cargas de trabalho.Microsoft Azure provides a multitude of services and capabilities that enterprises assemble like building blocks to address a wide array of workloads and applications.

Decidir a utilizar o Microsoft Azure é apenas o primeiro passo para alcançar os benefícios da cloud.Deciding to use Microsoft Azure is only the first step to achieving the benefit of the cloud. O segundo passo é compreender como a empresa efetivamente pode utilizar o Azure e identificar as capacidades de linha de base que têm de estar em vigor para responder às perguntas como:The second step is understanding how the enterprise can effectively use Azure and identify the baseline capabilities that need to be in place to address questions like:

  • "Estou preocupado com a soberania de dados; como posso garantir que que meus dados e sistemas de cumprir os nossos requisitos regulamentares?""I'm concerned about data sovereignty; how can I ensure that my data and systems meet our regulatory requirements?"
  • "Como posso saber o que cada recurso oferece suporte para que eu podem contribuir para ele e volta com precisão de fatura?""How do I know what each resource is supporting so I can account for it and bill it back accurately?"
  • "Eu quero Certifique-se de que tudo o que podemos implementar ou fazer na cloud pública começa com a mentalidade de segurança em primeiro lugar, como é que ajudam a facilitar que?""I want to make sure that everything we deploy or do in the public cloud starts with the mindset of security first, how do I help facilitate that?"

A perspectiva de uma subscrição vazia com nenhuma rails guard é uma tarefa árdua.The prospect of an empty subscription with no guard rails is daunting. Este espaço em branco pode hamper sua mudança para o Azure.This blank space can hamper your move to Azure.

Este artigo fornece um ponto de partida para profissionais técnicos atender à necessidade de governação e equilibrá-lo com a necessidade de agilidade.This article provides a starting point for technical professionals to address the need for governance and balance it with the need for agility. Ele introduz o conceito de uma estrutura de enterprise que orienta as empresas a implementar e gerenciar seus ambientes do Azure de forma segura.It introduces the concept of an enterprise scaffold that guides organizations in implementing and managing their Azure environments in a secure way. Ele fornece a estrutura para desenvolver controles eficazes e eficientes.It provides the framework to develop effective and efficient controls.

Necessidade de governaçãoNeed for governance

Quando mudar para o Azure, deve resolver o tópico de governação desde o início para garantir que a utilização efetuada com êxito da cloud dentro da empresa.When moving to Azure, you must address the topic of governance early to ensure the successful use of the cloud within the enterprise. Infelizmente, a hora e a burocracia de criação de um sistema abrangente de governação significa alguns grupos de negócios ir diretamente para fornecedores sem envolver TI corporativos.Unfortunately, the time and bureaucracy of creating a comprehensive governance system means some business groups go directly to providers without involving enterprise IT. Essa abordagem pode deixar a empresa aberto para comprometer se os recursos não sejam adequadamente gerenciados.This approach can leave the enterprise open to compromise if the resources are not properly managed. As características da cloud pública - agilidade, flexibilidade e preços baseados no consumo - são importantes para os grupos de negócios que precisam para satisfazer rapidamente as necessidades dos clientes (internos e externos).The characteristics of the public cloud - agility, flexibility, and consumption-based pricing - are important to business groups that need to quickly meet the demands of customers (both internal and external). Mas, TI empresarial tem de garantir a proteção com eficiência dados e sistemas.But, enterprise IT needs to ensure that data and systems are effectively protected.

Durante a criação de um prédio, scaffolding é utilizado para criar a base de uma estrutura.When creating a building, scaffolding is used to create the basis of a structure. A estrutura orienta o contorno geral e fornece pontos de âncora para sistemas mais permanentes de ser montado.The scaffold guides the general outline and provides anchor points for more permanent systems to be mounted. Uma estrutura empresarial é o mesmo: um conjunto de controlos flexíveis e capacidades do Azure que fornecem estrutura para o ambiente e as âncoras de serviços criados na cloud pública.An enterprise scaffold is the same: a set of flexible controls and Azure capabilities that provide structure to the environment, and anchors for services built on the public cloud. Fornece os construtores (IT e grupos de negócios) uma base para criar e expor os novos serviços tendo a velocidade de entrega em mente.It provides the builders (IT and business groups) a foundation to create and attach new services keeping speed of delivery in mind.

A estrutura baseia-se em práticas que podemos ter reunidas a partir de muitos compromissos com os clientes de vários tamanhos.The scaffold is based on practices we have gathered from many engagements with clients of various sizes. Esses variam de clientes desde organizações de pequenas porte a desenvolver soluções na cloud para grandes empresas multinacional e fornecedores independentes de software que estão a migrar cargas de trabalho e desenvolver soluções de nativas da cloud.Those clients range from small organizations developing solutions in the cloud to large multi-national enterprises and independent software vendors who are migrating workloads and developing cloud-native solutions. A estrutura da empresa é "os" para ser flexível para suportar cargas de trabalho IT tradicionais e cargas de trabalho ágil; como os desenvolvedores que criam aplicativos de software-como-serviço (SaaS) com base em capacidades da plataforma Azure.The enterprise scaffold is "purpose-built" to be flexible to support both traditional IT workloads and agile workloads; such as, developers creating software-as-a-service (SaaS) applications based on Azure platform capabilities.

A estrutura de enterprise destina-se para ser a base de cada nova subscrição no Azure.The enterprise scaffold is intended to be the foundation of each new subscription within Azure. Permite que os administradores garantir que as cargas de trabalho de cumprir os requisitos de governação mínima de uma organização sem a impedir que os grupos de empresas e desenvolvedores rapidamente a cumprir os seus próprios objetivos.It enables administrators to ensure workloads meet the minimum governance requirements of an organization without preventing business groups and developers from quickly meeting their own goals. Nossa experiência mostra que isso muito acelera, e não impede, crescimento de cloud pública.Our experience shows that this greatly speeds, rather than impedes, public cloud growth.

Nota

A Microsoft lançou em pré-visualização de um novo recurso chamado esquemas de Azure que irá permitir-lhe empacotamento, a gerir e implementar comuns imagens, modelos, políticas e scripts em subscrições e grupos de gestão.Microsoft has released into preview a new capability called Azure Blueprints that will enable you to package, manage, and deploy common images, templates, policies, and scripts across subscriptions and management groups. Esta capacidade é a ponte entre o objetivo da estrutura como o modelo de referência e a implementar esse modelo para a sua organização.This capability is the bridge between the scaffold's purpose as reference model and deploying that model to your organization.

A imagem seguinte mostra os componentes de scaffold.The following image shows the components of the scaffold. A base se baseia num plano sólido para a hierarquia de gerenciamento e subscrições.The foundation relies on a solid plan for the management hierarchy and subscriptions. Os pilares consistem em padrões de nomenclatura fortes e de políticas do Resource Manager.The pillars consist of Resource Manager policies and strong naming standards. O resto do scaffold são principais capacidades do Azure e funcionalidades que permitem e ligar um ambiente seguro e gerenciável.The rest of the scaffold are core Azure capabilities and features that enable and connect a secure and manageable environment.

estrutura de Enterprise

Definir a sua hierarquiaDefine your hierarchy

A base de scaffold é a hierarquia e a relação de inscrição de Enterprise do Azure através de subscrições e grupos de recursos.The foundation of the scaffold is the hierarchy and relationship of the Azure Enterprise Enrollment through to subscriptions and resource groups. A inscrição de enterprise define a forma e a utilização dos serviços do Azure dentro da empresa a partir de um ponto de vista contratual.The enterprise enrollment defines the shape and use of Azure services within your company from a contractual point of view. Dentro do enterprise agreement, pode subdividir o ambiente em Departamentos, contas, e por fim, grupos de subscrições e recursos de acordo com a estrutura da sua organização.Within the enterprise agreement, you can further subdivide the environment into departments, accounts, and finally, subscriptions and resource groups to match your organization's structure.

hierarquia

Uma subscrição do Azure é a unidade básica de onde estão incluídos todos os recursos.An Azure subscription is the basic unit where all resources are contained. Também define vários limites no Azure, como o número de núcleos, redes virtuais e outros recursos.It also defines several limits within Azure, such as number of cores, virtual networks and other resources. Grupos de recursos do Azure são utilizados para refinar o modelo de assinatura e ativar um agrupamento mais natural de recursos.Azure Resource Groups are used to further refine the subscription model and enable a more natural grouping of resources.

Toda empresa é diferente e a hierarquia na imagem acima permite flexibilidade significativa no como o Azure está organizado dentro da empresa.Every enterprise is different and the hierarchy in the above image allows for significant flexibility in how Azure is organized within your company. Modelagem da hierarquia para refletir as necessidades da sua empresa para faturação, gestão de recursos e acesso a recursos é a primeira — e o mais importante — decisões que toma quando a partir da cloud pública.Modeling your hierarchy to reflect the needs of your company for billing, resource management, and resource access is the first — and most important — decision you make when starting in the public cloud.

Os departamentos e contasDepartments and Accounts

Os três padrões comuns para inscrições do Azure são:The three common patterns for Azure Enrollments are:

  • O funcional padrãoThe functional pattern

    funcional

  • O unidade de negócios padrãoThe business unit pattern

    empresa

  • O geográfica padrãoThe geographic pattern

    geográfica

Embora cada um desses padrões tem seu lugar, o unidade de negócios padrão de cada vez mais está a ser adotado para sua flexibilidade numa organização de modelagem do custo de modelo, bem como refletindo de controlo.Though each of these patterns has its place, the business unit pattern is increasingly being adopted for its flexibility in modeling an organization's cost model as well as reflecting span of control. Grupo de engenharia do Microsoft Core e de operações criou um sub conjunto do unidade de negócios padrão que é muito eficaz, modelado Federal, estadoe Local.Microsoft Core Engineering and Operations group has created a sub-set of the business unit pattern that is very effective, modeled on Federal, State, and Local. (Para obter mais informações, consulte organizar as subscrições e grupos de recursos dentro da empresa.)(For more information, see Organizing subscriptions and resource groups within the Enterprise.)

Grupos de gestão do AzureAzure management groups

A Microsoft lançou recentemente uma nova forma de modelar a hierarquia: Grupos de gestão do Azure.Microsoft has recently released a new way of modeling your hierarchy: Azure management groups. Grupos de gestão são muito mais flexíveis do que os departamentos e as contas e podem ser aninhados até seis níveis.Management groups are much more flexible than departments and accounts and can be nested up to six levels. Grupos de gestão permitem-lhe criar uma hierarquia que é separada da sua hierarquia de faturação, apenas para o gerenciamento eficiente de recursos.Management groups allow you to create a hierarchy that is separate from your billing hierarchy, solely for efficient management of resources. Grupos de gestão podem espelhar a hierarquia de faturação e, muitas vezes, as empresas começam desse modo.Management groups can mirror your billing hierarchy and often enterprises start that way. No entanto, o poder dos grupos de gestão é quando usá-los para modelar a sua organização onde relacionados com subscrições — independentemente de onde eles estão na hierarquia de faturação — são agrupados em conjunto e precisa comuns funções atribuídas, bem como as políticas e iniciativas.However, the power of management groups is when you use them to model your organization where related subscriptions — regardless where they are in the billing hierarchy — are grouped together and need common roles assigned as well as policies and initiatives. Alguns exemplos:A few examples:

  • Produção/não produção.Production/Non-Production. Algumas empresas criar grupos de gestão para identificar a respetiva produção e de subscrições de não produção.Some enterprises create management groups to identify their production and non-production subscriptions. Grupos de gestão permitem que esses clientes mais facilmente gerir funções e as políticas, por exemplo: subscrição de não produção pode permitir que os desenvolvedores de acesso de "contribuinte", mas na produção, eles têm acesso a apenas "leitor de".Management groups allow these customers to more easily manage roles and policies, for example: non-production subscription may allow developers "contributor" access, but in production, they have only "reader" access.
  • Serviços de serviços interna/externa.Internal Services/External Services. Muito, como produção/não-produção, as empresas, muitas vezes, têm requisitos diferentes, políticas e funções para serviços internos versus externo (orientadas para o cliente) dos serviços.Much like Production/Non-Production, enterprises often have different requirements, policies and roles for internal services versus external (customer facing) services.

Bem pensado de grupos de gestão são o backbone de governação eficiente do Azure, juntamente com o Azure Policy e iniciativas.Well thought out management groups are, along with Azure Policy and Initiatives the backbone of efficient governance of Azure.

SubscriçõesSubscriptions

Quando decidir sobre seus departamentos e contas (ou grupos de gestão), principalmente está a visualizar como estiver dividir seu ambiente do Azure de acordo com a sua organização.When deciding on your Departments and Accounts (or management groups), you are primarily looking at how you're dividing up your Azure environment to match your organization. Subscrições, no entanto, são onde o trabalho realmente acontece e as decisões que tomou aqui afetam a segurança, escalabilidade e faturação.Subscriptions, however, are where the real work happens and your decisions here impact security, scalability and billing. Muitas organizações observar os seguintes padrões como seus guias:Many organizations look at the following patterns as their guides:

  • Aplicações/serviços: Subscrições representam uma aplicação ou um serviço (portfólio de aplicativos)Application/Service: Subscriptions represent an application or a service (portfolio of applications)
  • Ciclo de vida: Subscrições representam um ciclo de vida de um serviço, como produção ou desenvolvimento.Lifecycle: Subscriptions represent a lifecycle of a service, such as Production or Development.
  • Departamento: Subscrições representam os departamentos na organização.Department: Subscriptions represent departments in the organization.

Os primeiros dois padrões são mais comumente usada, e ambos são altamente recomendadas.The first two patterns are the most commonly used, and both are highly recommended. A abordagem de ciclo de vida é adequada para a maioria das organizações.The Lifecycle approach is appropriate for most organizations. Neste caso, a recomendação geral é usar duas subscrições bases.In this case, the general recommendation is to use two base subscriptions. "Produção" e "Não-produção" e, em seguida, utilize os grupos de recursos para dividir ainda mais os ambientes."Production" and "Non-Production," and then use resource groups to break out the environments further.

Grupos de recursosResource groups

O Azure Resource Manager permite-lhe colocar recursos em grupos relevantes para a afinidade de faturação ou natural de gestão.Azure Resource Manager enables you to put resources into meaningful groups for management, billing, or natural affinity. Grupos de recursos são contentores de recursos que têm um ciclo de vida comum ou partilham um atributo, como "todos os servidores SQL" ou "Application A".Resource groups are containers of resources that have a common life cycle or share an attribute such as "all SQL servers" or "Application A".

Não não possível aninhar a grupos de recursos e recursos só podem pertencer a um grupo de recursos.Resource groups can't be nested, and resources can only belong to one resource group. Algumas ações podem agir sobre todos os recursos num grupo de recursos.Some actions can act on all resources in a resource group. Por exemplo, a eliminar um grupo de recursos remove todos os recursos no grupo de recursos.For example, deleting a resource group removes all resources within the resource group. Como as subscrições, existem padrões comuns quando criar grupos de recursos e irá variar de cargas de trabalho de "TI tradicional" para cargas de trabalho de "TI ágil":Like subscriptions, there are common patterns when creating resource groups and will vary from "Traditional IT" workloads to "Agile IT" workloads:

  • "Tradicional IT" cargas de trabalho mais comumente são agrupadas por itens dentro do mesmo ciclo de vida, como uma aplicação."Traditional IT" workloads are most commonly grouped by items within the same life cycle, such as an application. Agrupamento por aplicação permite a gestão de aplicações individuais.Grouping by application allows for individual application management.
  • "Ágil IT" cargas de trabalho tendem a se concentrar em aplicações na cloud de destinada aos clientes externos."Agile IT" workloads tend to focus on external customer-facing cloud applications. Os grupos de recursos, muitas vezes, refletem as camadas de gerenciamento e implantação (como uma camada web ou a camada de aplicação).The resource groups often reflect the layers of deployment (such as a web tier or app tier) and management.

Nota

Compreender a sua carga de trabalho ajuda a desenvolver uma estratégia de grupo de recursos.Understanding your workload helps you develop a resource group strategy. Esses padrões podem ser misturados e combinados.These patterns can be mixed and matched. Por exemplo, serviços compartilhados grupo de recursos na mesma subscrição que grupos de recursos "Agile".For example, a shared services resource group in the same subscription as "Agile" resource groups.

Padrões de nomenclaturaNaming standards

O primeiro pilar da scaffold é uma norma de nomenclatura consistente.The first pillar of the scaffold is a consistent naming standard. Padrões de nomenclatura bem projetados permitem-lhe identificar recursos no portal, numa fatura e dentro de scripts.Well-designed naming standards enable you to identify resources in the portal, on a bill, and within scripts. Provavelmente já terá padrões de nomenclatura existentes para a infraestrutura no local.You likely already have existing naming standards for on-premises infrastructure. Ao adicionar o Azure ao seu ambiente, deve estender esses padrões de nomenclatura para os recursos do Azure.When adding Azure to your environment, you should extend those naming standards to your Azure resources.

Dica

Para as convenções de nomenclatura:For naming conventions:

  • Reveja e adotar sempre que possível a documentação de orientação de padrões e práticas.Review and adopt where possible the Patterns and Practices guidance. Esta orientação ajuda-o a decidir qual a um padrão de nomeação significativo e fornece exemplos abrangentes.This guidance helps you decide on a meaningful naming standard and provides extensive examples.
  • Utilizar políticas do Resource Manager para ajudar a reforçar os padrões de nomenclaturaUsing Resource Manager Policies to help enforce naming standards

Lembre-se de que é difícil alterar nomes mais tarde, por isso, poucos minutos agora irá guardar de problemas mais tarde.Remember that it's difficult to change names later, so a few minutes now will save you trouble later.

Seus padrões de nomenclatura concentre-se esses recursos que são utilizados mais frequentemente e está à procura.Concentrate your naming standards on those resources that are more commonly used and searched for. Por exemplo, todos os grupos de recursos devem seguir um forte padrão por motivos de clareza.For example, all resource groups should follow a strong standard for clarity.

Etiquetas de RecursosResource Tags

Os sinalizadores de recurso rigidamente estão alinhados com padrões de nomenclatura.Resource tags are tightly aligned with naming standards. À medida que recursos são adicionados às subscrições, torna-se cada vez mais importante para logicamente categorize-as para faturação, gestão e fins operacionais.As resources are added to subscriptions, it becomes increasingly important to logically categorize them for billing, management, and operational purposes. Para obter mais informações, consulte utilizar etiquetas para organizar os recursos do Azure.For more information, see Use tags to organize your Azure resources.

Importante

As etiquetas podem conter informações pessoais e podem estar abrangida por regulamentações do GDPR.Tags can contain personal information and may fall under the regulations of GDPR. Planeie cuidadosamente para a gestão das suas etiquetas.Plan for management of your tags carefully. Se estiver procurando por informações gerais sobre o GDPR, consulte a secção GDPR a Portal de confiança do serviço.If you're looking for general info about GDPR, see the GDPR section of the Service Trust Portal.

As etiquetas são utilizadas de várias maneiras para além de faturação e gestão.Tags are used in many ways beyond billing and management. Muitas vezes, são utilizados como parte da automação (consulte a seção posterior).They are often used as part of automation (see later section). Isso pode causar conflitos se não for considerada com antecedência.This can cause conflicts if not considered up front. A prática recomendada é identificar todas as etiquetas comuns ao nível da empresa (por exemplo, ApplicationOwner, Centrodecustos) e aplicá-las de forma consistente quando implementar recursos com a automatização.The recommended practice is to identify all the common tags at the enterprise level (such as ApplicationOwner, CostCenter) and apply them consistently when deploying resources using automation.

O Azure Policy e iniciativasAzure Policy and Initiatives

O segundo pilar da scaffold envolve o uso do Azure Policy e iniciativas para gerir o risco através da imposição de regras (com efeitos) sobre os recursos e serviços nas suas subscrições.The second pillar of the scaffold involves using Azure Policy and Initiatives to manage risk by enforcing rules (with effects) over the resources and services in your subscriptions. Iniciativas do Azure são coleções de políticas que foram concebidas para atingir um objetivo único.Azure Initiatives are collections of policies that are designed to achieve a single goal. O Azure policy e iniciativas, em seguida, são atribuídas a um âmbito de recursos para começar a imposição das políticas específicas.Azure policy and initiatives are then assigned to a resource scope to begin enforcement of the particular policies.

Política do Azure e de iniciativas são ainda mais poderosas quando utilizado com os grupos de gestão mencionados anteriormente.Azure Policy and Initiatives are even more powerful when used with the management groups mentioned earlier. Os grupos de gestão permitem a atribuição de uma iniciativa ou a política para um conjunto completo de subscrições.Management groups enable the assignment of an initiative or policy to an entire set of subscriptions.

Utilizações comuns de políticas do Resource ManagerCommon uses of Resource Manager policies

Políticas do Azure e iniciativas são uma poderosa ferramenta no Kit de ferramentas do Azure.Azure policies and initiatives are a powerful tool in the Azure toolkit. As políticas permitem que as empresas fornecem controlos para cargas de trabalho de "TI tradicional" que permitem a estabilidade que é necessária para as aplicações de linha de negócio e também permite que cargas de trabalho "Agile"; desenvolvimento de aplicativos de cliente como, sem abrir da empresa a riscos adicionais.Policies allow companies to provide controls for "Traditional IT" workloads that enable the stability that is needed for line-of-business applications while also allowing "Agile" workloads; such as, developing customer applications without opening up the enterprise to additional risk. Os padrões mais comuns que vemos para políticas são:The most common patterns we see for policies are:

  • Conformidade/dados Geoespaciais soberania.Geo-compliance/data sovereignty. O Azure tem uma lista crescente de regiões em todo o mundo.Azure has an ever-growing list of regions across the world. Muitas vezes, as empresas precisam de garantir que os recursos num determinado âmbito permanecem numa região geográfica para abordar os requisitos de regulamentação.Enterprises often need to ensure that resources in a particular scope remain in a geographic region to address regulatory requirements.
  • Evitar expor publicamente os servidores.Avoid exposing servers publicly. O Azure policy pode proibir a implementação de determinados tipos de recursos.Azure policy can prohibit the deployment of certain resources types. Um uso comum é criar uma política para negar a criação de um IP público dentro de um âmbito específico, evitando a exposição não pretendida de um servidor à internet.A common use is to create a policy to deny the creation of a public IP within a particular scope, avoiding un-intended exposure of a server to the internet.
  • Gestão e os metadados de custos.Cost Management and Metadata. As etiquetas de recursos, muitas vezes, são utilizadas para adicionar dados de faturas importantes para os recursos e grupos de recursos, tais como CostCenter, proprietário e muito mais.Resource tags are often used to add important billing data to resources and resource groups such as CostCenter, Owner and more. Essas marcas são indispensáveis para explorações precisa faturação e gestão de recursos.These tags are invaluable for accurate billing and management of resources. As políticas podem impor a aplicação de etiquetas de recursos para todos os recursos implementados, tornando mais fácil de gerenciar.Policies can enforce the application of resources tags to all deployed resource, making it easier to manage.

Utilizações comuns de iniciativasCommon uses of initiatives

A introdução de iniciativas fornecidos às empresas uma forma de agrupar as políticas de lógicas e controlar como um todo.The introduction of initiatives provided enterprises a way to group logical policies together and track as a whole. Ainda mais as iniciativas de suporte da empresa para atender às necessidades das cargas de trabalho "ágil" e "tradicionais".Initiatives further support the enterprise to address the needs of both "agile" and "traditional" workloads. Temos visto muito criativos usos de iniciativas, mas normalmente vemos:We have seen very creative uses of initiatives, but commonly we see:

  • Ativar a monitorização no Centro de segurança do Azure.Enable monitoring in Azure Security Center. Esta é uma iniciativa de predefinição na política do Azure e um ótimo exemplo de quais iniciativa são.This is a default initiative in the Azure Policy and an excellent example of what initiative are. Permite que as políticas que identificam as bases de dados SQL não encriptados, vulnerabilidades de máquina virtual (VM) e de segurança mais comuns relacionados com necessidades.It enables policies that identify un-encrypted SQL databases, virtual machine (VM) vulnerabilities and more common security related needs.
  • Normas iniciativa específica.Regulatory specific initiative. As empresas, muitas vezes, agrupam políticas comuns a um requisito regulamentar (como HIPAA), para que os controles e conformidade para esses controles são controladas com eficiência.Enterprises often group policies common to a regulatory requirement (such as HIPAA) so that controls and compliancy to those controls are tracked efficiently.
  • Tipos de recursos e SKUs.Resource Types and SKUs. Criação de uma iniciativa que restringe os tipos de recursos que podem ser implementados, bem como os SKUs que podem ser implementados pode ajudar a controlar os custos e certifique-se de que sua organização só está a implementar recursos que sua equipe tiver o conjunto de capacidades e os procedimentos para suportar.Creating an initiative that restricts the types of resources that can be deployed as well as the SKUs that can be deployed can help to control costs and ensure your organization is only deploying resources that your team have the skillset and procedures to support.

Dica

Recomendamos que utilize sempre as definições de iniciativa em vez de definições de política.We recommend you always use initiative definitions instead of policy definitions. Depois de atribuir uma iniciativa a um âmbito, por exemplo, subscrição ou grupo de gestão, pode facilmente adicionar outra política para a iniciativa sem ter de alterar as atribuições de.After assigning an initiative to a scope, such as subscription or management group, you can easily add another policy to the initiative without having to change any assignments. Isso torna a compreender o que é aplicado e ao controlar a conformidade muito mais fácil.This makes understanding what is applied and tracking compliance far easier.

Atribuições de política e iniciativaPolicy and Initiative assignments

Após a criação de políticas e agrupá-los em iniciativas de lógicas tem de atribuir a política a um âmbito, quer se trate de um grupo de gestão, uma subscrição ou até mesmo um grupo de recursos.After the creation of policies and grouping them into logical initiatives you must assign the policy to a scope, whether it is a management group, a subscription or even a resource group. Atribuições de permitem-lhe excluir um âmbito de frações de atribuição de uma política.Assignments allow you to also exclude a sub-scope from the assignment of a policy. Por exemplo, se negar a criação de IPs públicos dentro de uma subscrição, pode criar uma atribuição com uma exclusão para um grupo de recursos ligado à sua rede de Perímetro protegido.For example, if you deny the creation of public IPs within a subscription, you could create an assignment with an exclusion for a resource group connected to your protected DMZ.

Encontrará vários exemplos de política que mostram como a política e iniciativas podem ser aplicadas a vários recursos do Azure sobre isso GitHub repositório.You will find several Policy examples that show how Policy and Initiatives can be applied to various resources within Azure on this GitHub repository.

Gestão de identidades e acessosIdentity and access management

Uma das perguntas primeiros e mais importante, pergunte-se quando a partir da cloud pública é "que devem ter acesso aos recursos?"One of the first, and most crucial, questions you ask yourself when starting with the public cloud is "who should have access to resources?" e "como controlar este acesso?"and "how do I control this access?" Permitir ou não permitisse acesso ao portal do Azure e controlar o acesso a recursos no portal do são fundamental para o sucesso de longo prazo e a segurança dos seus recursos na cloud.Allowing or disallowing access to the Azure portal, and controlling access to resources in the portal is critical to the long term success and safety of your assets in the cloud.

Para realizar a tarefa de proteger o acesso aos seus recursos, primeiro de configurar o fornecedor de identidade e, em seguida, configurar funções e acesso.To accomplish the task of securing access to your resources you will first configure your identity provider and then configure Roles and access. Azure Active Directory (Azure AD), ligada ao seu diretório de Active Directory no local, é a base da identidade do Azure.Azure Active Directory (Azure AD), connected to your on-premises Active Directory, is the foundation of Azure Identity. Que é dito isso, o Azure AD não do Active Directory e é importante entender o que é um inquilino do Azure AD e como ele se relaciona à inscrição do Azure.That said, Azure AD is not Active Directory and it's important to understand what an Azure AD tenant is and how it relates to your Azure enrollment. Reveja o disponíveis informações para obter uma base sólida no Azure AD e AD.Review the available information to gain a solid foundation on Azure AD and AD. Para se ligar e sincronizar o Active Directory para o Azure AD, instale e configure as ferramenta AD Connect no local.To connect and synchronize your Active Directory to Azure AD, install and configure the AD Connect tool on-premises.

arch.png

Quando o Azure foi inicialmente lançado, os controlos de acesso para uma subscrição foram básicos: Administrador ou Coadministrador.When Azure was initially released, access controls to a subscription were basic: Administrator or Co-Administrator. Aceder a uma subscrição no acesso de modelo implícito de clássico para todos os recursos no portal.Access to a subscription in the Classic model implied access to all the resources in the portal. Essa falta de um controlo muito apurado levou à proliferação de subscrições para fornecer um nível de controlo de acesso razoável para uma inscrição do Azure.This lack of fine-grained control led to the proliferation of subscriptions to provide a level of reasonable access control for an Azure Enrollment. Este proliferação de subscrições não é mais necessária.This proliferation of subscriptions is no longer needed. Com o controlo de acesso baseado em funções (RBAC), pode atribuir utilizadores às funções padrão de fornecem acesso comuns, como "proprietário", "contribuinte" ou "leitor de", ou até mesmo criar suas próprias funçõesWith role-based access control (RBAC), you can assign users to standard roles that provide common access such as "owner", "contributor" or "reader" or even create your own roles

Durante a implementação de acesso baseado em funções, a seguir é altamente recomendada:When implementing role-based access, the following are highly recommended:

  • Controle o/Coadministrador administrador de uma subscrição como estas funções têm permissões abrangentes.Control the Administrator/Co-Administrator of a subscription as these roles have extensive permissions. Apenas terá de adicionar o proprietário da subscrição como um coadministrador se precisarem de implementações do Azure clássico geridas.You only need to add the Subscription Owner as a Co-administrator if they need to managed Azure Classic deployments.

  • Utilizar grupos de gestão para atribuir funções em várias subscrições e reduzir a carga de gerenciá-las ao nível da subscrição.Use management groups to assign roles across multiple subscriptions and reduce the burden of managing them at the subscription level.

  • Adicione utilizadores do Azure a um grupo (por exemplo, o aplicativo X proprietários) no Active Directory.Add Azure users to a group (for example, Application X Owners) in Active Directory. Utilize o grupo de sincronização para fornecer os direitos adequados para gerir o grupo de recursos que contém a aplicação de membros do grupo.Use the synced group to provide group members the appropriate rights to manage the resource group containing the application.

  • Acompanhar o princípio de conceder a menor privilégio necessários para fazer o trabalho esperado.Follow the principle of granting the least privilege required to do the expected work.

Importante

Considere a utilização do Azure AD Privileged Identity Managementdo Azure multi-factor Authentication e acesso condicional capacidades para proporcionar uma melhor segurança e mais visibilidade para ações administrativas nas suas subscrições do Azure.Consider using Azure AD Privileged Identity Management, Azure Multi-Factor Authentication and Conditional Access capabilities to provide better security and more visibility to administrative actions across your Azure subscriptions. Esses recursos provenientes de uma licença válida do Azure AD Premium (dependendo do recurso) para proteger e gerir a sua identidade.These capabilities come from a valid Azure AD Premium license (depending on the feature) to further secure and manage your identity. PIM do Azure AD permite acesso de administrativo "Just-in-Time" com o fluxo de trabalho de aprovação, bem como uma auditoria completa de ativações de administrador e atividades.Azure AD PIM enables "Just-in-Time" administrative access with approval workflow, as well as a full audit of administrator activations and activities. MFA do Azure é outro recurso crítico e permite a verificação de dois passos para iniciar sessão no portal do Azure.Azure MFA is another critical capability and enables two-step verification for login to the Azure portal. Quando combinado com controlos de acesso condicional com eficiência pode gerir o risco de comprometimento.When combined with Conditional Access Controls you can effectively manage your risk of compromise.

Planear e preparar para seus controles de acesso e identidade e seguir a prática recomendada de gestão de identidades do Azure (link) é um das estratégias de atenuação de risco melhor que pode empregar e deve ser considerado obrigatório para todos os implementação.Planning and preparing for your identity and access controls and following Azure Identity Management best practice (link) is one of the best risk mitigation strategies that you can employ and should be considered mandatory for every deployment.

SegurançaSecurity

Um dos grande empecilho para a adoção da cloud, tradicionalmente, tem sido preocupações sobre segurança.One of the biggest blockers to cloud adoption traditionally has been concerns over security. Gestores de riscos de TI e departamentos de segurança necessário garantir que os recursos no Azure estão protegida e seguro por padrão.IT risk managers and security departments need to ensure that resources in Azure are protected and secure by default. O Azure fornece uma série de recursos que pode aproveitar para proteger os recursos e detetar/impedir ameaças em relação a esses recursos.Azure provides a number of capabilities that you can leverage to protect resources and detect/prevent threats against those resources.

Centro de Segurança do AzureAzure Security Center

O Centro de segurança do Azure fornece uma vista unificada do Estado de segurança de recursos em seu ambiente, além de proteção avançada contra ameaças.The Azure Security Center provides a unified view of the security status of resources across your environment in addition to advanced threat protection. Centro de segurança do Azure é uma plataforma aberta que permite que os parceiros da Microsoft criar software que se conecta e aperfeiçoar seus recursos.Azure Security Center is an open platform that enables Microsoft partners to create software that plugs into and enhance its capabilities. As capacidades de linha de base do Centro de segurança do Azure (escalão gratuito) fornece avaliação e recomendações que irão melhorar a sua postura de segurança.The baseline capabilities of Azure Security Center (free tier) provides assessment and recommendations that will enhance your security posture. Seu escalões pagos ativar as funcionalidades adicionais e valiosas, como o acesso de administrador Just In Time e controlos de aplicação adaptável (lista de permissões).Its paid tiers enable additional and valuable capabilities such as Just In Time admin access and adaptive application controls (whitelisting).

Dica

Centro de segurança do Azure é uma ferramenta muito poderosa que está constantemente a ser aprimorada e incorpora novos recursos que pode aproveitar para detetar ameaças e proteger a sua empresa.Azure security center is a very powerful tool that is constantly being enhanced and incorporating new capabilities you can leverage to detect threats and protect your enterprise. É altamente recomendado para sempre habilitar ASC.It is highly recommended to always enable ASC.

Bloqueios de recursos do AzureAzure resource locks

À medida que sua organização adiciona serviços principais para subscrições torna-se cada vez mais importante evitar a interrupção do negócio.As your organization adds core services to subscriptions it becomes increasingly important to avoid business disruption. Um tipo de interrupção que vemos com freqüência é conseqüências indesejadas de scripts e ferramentas de trabalhar em relação a uma subscrição do Azure, a eliminação de recursos por engano.One type of disruption that we often see is unintended consequences of scripts and tools working against an Azure subscription deleting resources mistakenly. Bloqueios de recursos permitem-lhe restringir as operações nos recursos de alto valor onde modificar ou eliminá-los seria ter um impacto significativo.Resource Locks enable you to restrict operations on high-value resources where modifying or deleting them would have a significant impact. Bloqueios são aplicados a uma subscrição, grupo de recursos ou recursos individuais.Locks are applied to a subscription, resource group, or even individual resources. É o caso de utilização comuns aplicar bloqueios para recursos fundamentais, como redes virtuais, gateways, os grupos de segurança de rede e contas de armazenamento de chaves.The common use case is to apply locks to foundational resources such as virtual networks, gateways, network security groups and key storage accounts.

Proteger o Kit de ferramentas de DevOpsSecure DevOps Toolkit

O "Secure DevOps Kit para Azure" (AzSK) é uma coleção de scripts, ferramentas, extensões, automatizações de fluxos, etc. originalmente criado pela Microsoft da própria equipe de TI e lançado em OpenSource através do Github (link).The "Secure DevOps Kit for Azure" (AzSK) is a collection of scripts, tools, extensions, automations, etc. originally created by Microsoft's own IT Team and released in OpenSource via Github (link). AzSK atende, para a subscrição do Azure de ponta a ponta e a segurança de recursos, necessidades para as equipas através da automatização extensa e integração sem problemas de segurança em fluxos de trabalho do ops de desenvolvimento nativo ajudar a realizar operações de programação segura com essas áreas de 6 enfoque:AzSK caters to the end to end Azure subscription and resource security needs for teams using extensive automation and smoothly integrating security into native dev ops workflows helping accomplish secure dev ops with these 6 focus areas:

  • Proteger a subscriçãoSecure the subscription
  • Permitir um desenvolvimento seguroEnable secure development
  • Integrar a segurança CI/CDIntegrate security into CICD
  • Assurance contínuaContinuous Assurance
  • Alertas e monitoramentoAlerting and Monitoring
  • Governação de risco na cloudCloud Risk Governance

Kit de ferramentas de DevOps do Azure

O AzSK é um conjunto avançado de ferramentas, scripts e as informações que são uma parte importante de um plano de Governança Azure completo e incorporação no sua estrutura é crucial para os objetivos de gerenciamento de risco de organizações de suporteThe AzSK is a rich set of tools, scripts and information that are an important part of a full Azure governance plan and incorporating this into your scaffold is crucial to supporting your organizations risk management goals

Gestão de atualizações do AzureAzure Update Management

Uma das principais tarefas que pode fazer para manter o seu ambiente seguro é Certifique-se de que os servidores sejam corrigidos com as atualizações mais recentes.One of the key tasks you can do to keep your environment safe is ensure that your servers are patched with the latest updates. Embora existam diversas ferramentas para fazer isso, o Azure disponibiliza a gestão de atualizações do Azure solução para resolver a identificação e a distribuição de patches críticos do sistema operacional.While there are many tools to accomplish this, Azure provides the Azure Update Management solution to address the identification and rollout of critical OS patches. Ele usa a automatização do Azure, abordado o automatizar seção mais adiante neste guia.It uses Azure Automation, covered in the Automate section later in this guide.

Monitor e alertasMonitor and alerts

Recolher e analisar a telemetria que fornece a linha de visão para as atividades, métricas de desempenho, a integridade e a disponibilidade dos serviços que está a utilizar em todas as suas subscrições do Azure é essencial para gerir as suas aplicações de forma proativa e infraestrutura e uma necessidade fundamental de cada subscrição do Azure.Collecting and analyzing telemetry that provides line of sight into the activities, performance metrics, health and availability of the services you are using across all of your Azure subscriptions is critical to proactively manage your applications and infrastructure and is a foundational need of every Azure subscription. Cada serviço do Azure emite a telemetria na forma de registos de atividades, métricas e registos de diagnóstico.Every Azure service emits telemetry in the form of Activity Logs, Metrics and Diagnostic Logs.

  • Registos de atividades descrever todas as operações executadas nos recursos nas suas subscriçõesActivity Logs describe all operations performed on resources in your subscriptions
  • Métricas são emitidas dentro de um recurso que descrevem o desempenho e estado de funcionamento de um recurso de informações numéricasMetrics are numerical information emitted from within a resource that describe the performance and health of a resource
  • Os registos de diagnóstico são emitidos por um serviço do Azure e forneça dados avançados e frequentes sobre o funcionamento desse serviço.Diagnostic Logs are emitted by an Azure service and provide rich, frequent data about the operation of that service.

Estas informações podem ser visualizadas e providenciadas em vários níveis e estão a ser melhorada continuamente.This information can be viewed and acted upon at multiple levels and are continually being improved. O Azure disponibiliza partilhada, core e profunda capacidades de recursos do Azure através dos serviços descritos no diagrama abaixo de monitorização.Azure provides shared, core and deep monitoring capabilities of Azure resources through the services outlined in the diagram below. Monitorizaçãomonitoring

Capacidades partilhadasShared capabilities

  • Alertas: Pode coletar todos os registos, eventos e de métricas dos recursos do Azure, mas sem a capacidade de ser notificado sobre condições críticas e agir, estes dados apenas são útil para fins de históricos e forense.Alerts: You can collect every log, event and metric from Azure resources, but without the ability to be notified of critical conditions and act, this data is only useful for historic purposes and forensics. Alertas do Azure ser notificado proativamente das condições que definem em todas as suas aplicações e infraestrutura.Azure Alerts proactively notify you of conditions you define across all your applications and infrastructure. Criar regras de alertas em registos, eventos e métricas que utilizam grupos de ação para notificar os conjuntos de destinatários.You create alert rules across logs, events and metrics that use action groups to notify sets of recipients. Grupos de ação também oferecem a capacidade de automatizar a remediação com ações externas, como de webhooks para executar runbooks de automatização do Azure e as funções do Azure.Action groups also provide the ability to automate remediation using external actions such as webhooks to run Azure Automation runbooks and Azure Functions.

  • Dashboards: Dashboards permitem-lhe agregar a vistas de monitorização e combinar dados em recursos e subscrições para lhe dar uma vista de toda a empresa para a telemetria dos recursos do Azure.Dashboards: Dashboards enable you to aggregate monitoring views and combine data across resources and subscriptions to give you an enterprise-wide view into the telemetry of Azure resources. Pode criar e configurar suas próprias vistas e partilhá-los com outras pessoas.You can create and configure your own views and share them with others. Por exemplo, pode criar um dashboard que consiste de vários mosaicos para DBAs fornecer informações em todos os serviços de base de dados do Azure, incluindo a BD SQL do Azure, DB do Azure para PostgreSQL e DB do Azure para MySQL.For example, you could create a dashboard consisting of various tiles for DBAs to provide information across all Azure database services, including Azure SQL DB, Azure DB for PostgreSQL and Azure DB for MySQL.

  • Explorador de métricas: As métricas são valores numéricos gerados pelos recursos do Azure (por exemplo, % da CPU, disco e/s que forneçam informações sobre a operação e o desempenho dos seus recursos.Metrics Explorer: Metrics are numerical values generated by Azure resources (e.g. % CPU, Disk I/O, that provide insight into the operation and performance of your resources. Ao utilizar o Explorador de métricas pode definir e enviar as métricas no qual está interessado para o Log Analytics para a agregação e análise.By using Metrics Explorer you can define and send the metrics in which you are interested to Log Analytics for aggregation and analysis.

Monitorização principalCore monitoring

  • Azure Monitor: O Azure Monitor é o serviço de plataforma de núcleos que fornece uma única origem para monitorizar os recursos do Azure.Azure Monitor: Azure Monitor is the core platform service that provides a single source for monitoring Azure resources. A interface do Portal do Azure do Azure Monitor fornece um salto centralizado desativar ponto para todas as funcionalidades de monitorização no Azure, incluindo a recursos do Application Insights, soluções de gestão do Log Analytics, monitorização de rede, de monitorização profunda e Mapas de serviço.The Azure Portal interface of Azure Monitor provides a centralized jump off point for all the monitoring features across Azure including the deep monitoring capabilities of Application Insights, Log Analytics, Network Monitoring, Management Solutions and Service Maps. Com o Azure Monitor pode visualizar, consultar, encaminhar, arquivar e agir relativamente a métricas e registos provenientes de recursos do Azure entre o seu património integralmente na nuvem.With Azure Monitor you can visualize, query, route, archive and act on the metrics and logs coming from Azure resources across your entire cloud estate. Além do portal, pode recuperar dados através de Cmdlets do PowerShell do Monitor, da CLI de plataforma cruzada ou as APIs de REST do Azure Monitor.In addition to the portal you can retrieve data through the Monitor PowerShell Cmdlets, Cross Platform CLI or the Azure Monitor REST APIs.

  • Azure Advisor: O Assistente do Azure constantemente monitoriza telemetria em suas subscrições e ambientes e fornece recomendações sobre práticas recomendadas sobre como otimizar os recursos do Azure para poupar dinheiro e melhorar o desempenho, segurança e disponibilidade dos recursos que Certifique seus aplicativos.Azure Advisor: Azure Advisor constantly monitors telemetry across your subscriptions and environments and provides recommendations on best practices on how to optimize your Azure resources to save money and improve performance, security and availability of the resources that make up your applications.

  • Estado de funcionamento do serviço: O Azure Service Health identifica quaisquer problemas com os serviços do Azure que pode afetar as suas aplicações, bem como ajuda a planejar a instalação do windows de manutenção agendada.Service Health: Azure Service Health identifies any issues with Azure Services that may impact your applications as well as assists you in planning for scheduled maintenance windows.

  • Registo de atividades: O registo de atividades descreve todas as operações em recursos nas suas subscrições.Activity Log: The Activity Log describes all operations on resources in your subscriptions. Ele fornece uma trilha de auditoria para determinar o "o que", 'quem,' e 'when' de qualquer criar, atualizar e eliminar a operação de recursos.It provides an audit trail to determine the 'what', 'who', and 'when' of any create, update, delete operation on resources. Eventos de registo de atividade são armazenados na plataforma e estão disponíveis para consulta durante 90 dias.Activity Log events are stored in the platform and are available to query for 90 days. Pode ingerir os registos de atividades para o Log Analytics para mais períodos de retenção e mais profundo consulta e análise em vários recursos.You can ingest Activity Logs into Log Analytics for longer retention periods and deeper querying and analysis across multiple resources.

Monitorização aprofundada de aplicaçõesDeep application monitoring

  • O Application Insights: O Application Insights permite-lhe recolher telemetria específico da aplicação e monitorizar o desempenho, disponibilidade e utilização de aplicações na cloud ou no local.Application Insights: Application Insights enables you to collect application specific telemetry and monitor the performance, availability and usage of applications in the cloud or on-premises. Ao instrumentar seus aplicativos com SDKs suportados para vários idiomas, incluindo .NET, JavaScript, JAVA, node. js, Ruby e Python.By instrumenting your application with supported SDKs for multiple languages including .NET, JavaScript, JAVA, Node.js, Ruby and Python. Eventos do Application Insights são ingeridos no mesmo arquivo de dados do Log Analytics que suporta a infraestrutura e monitorização de segurança para que possa correlacionar e agregar eventos ao longo do tempo por meio de uma linguagem de consulta avançada.Application Insights events are ingested into the same Log Analytics data store that supports infrastructure and security monitoring to enable you to correlate and aggregate events over time through a rich query language.

Monitorização aprofundada das infraestruturasDeep infrastructure monitoring

  • Log Analytics: O log Analytics desempenha um papel central na monitorização do Azure ao recolher telemetria e outros dados de uma variedade de origens e fornecer um mecanismo de análise e linguagem de consulta que lhe dá informações sobre o funcionamento das suas aplicações e recursos.Log Analytics: Log Analytics plays a central role in Azure monitoring by collecting telemetry and other data from a variety of sources and providing a query language and analytics engine that gives you insights into the operation of your applications and resources. Pode interagir diretamente com os dados do Log Analytics através de vistas e pesquisas de registos de alto desempenho altamente ou pode utilizar ferramentas de análise noutros serviços do Azure que armazenam os dados no Log Analytics, como o Application Insights ou o Centro de segurança do Azure.You can either interact directly with Log Analytics data through highly performant log searches and views, or you may use analysis tools in other Azure services that store their data in Log Analytics such as Application Insights or Azure Security Center.

  • Monitorização de rede: Serviços de monitorização de rede do Azure permitem-lhe obter informações sobre o fluxo de tráfego de rede, afunilamentos de desempenho, segurança, conectividade e.Network Monitoring: Azure's network monitoring services enable you to gain insight into network traffic flow, performance, security, connectivity and bottlenecks. Um design de rede bem planejada deve incluir a configuração de serviços como o observador de rede e Monitor do ExpressRoute de monitorização de rede do Azure.A well-planned network design should include configuring Azure network monitoring services such as Network Watcher and ExpressRoute Monitor.

  • Soluções de gestão: Soluções de gestão são empacotados conjuntos de lógica, insights e consultas de análise de registo predefinidas para uma aplicação ou serviço.Management Solutions: Management solutions are packaged sets of logic, insights and pre-defined Log Analytics queries for an application or service. Eles baseiam-se no Log Analytics como a base para armazenar e analisar dados de eventos.They rely on Log Analytics as the foundation to store and analyze event data. Soluções de gestão de exemplo incluem a monitorização de contentores e análise de SQL Database do Azure.Sample management solutions include monitoring containers and Azure SQL Database analytics.

  • Mapa de serviço: Mapa de serviço fornece uma visão gráfica em seus componentes de infraestrutura, seus processos e as interdependências em outros computadores e os processos externos.Service Map: Service Map provides a graphical view into your infrastructure components, their processes and interdependencies on other computers and external processes. Ele se integra eventos, dados de desempenho e gerenciamento de soluções do Log Analytics.It integrates events, performance data and management solutions in Log Analytics.

Dica

Antes de criar alertas individuais, criar e manter um conjunto partilhado de grupos de ação que possa ser utilizada em alertas do Azure.Before creating individual alerts, create and maintain a set of shared Action Groups that can be used across Azure Alerts. Isto irá permitir-lhe manter centralmente o ciclo de vida das listas de destinatários, métodos de entrega de notificações (e-mail, números de telefone SMS) e webhooks para ações externos (runbooks de automatização do Azure, as funções do Azure / aplicações lógicas, ITSM).This will enable you to centrally maintain the lifecycle of your recipient lists, notification delivery methods (email, SMS phone numbers) and webhooks to external actions (Azure Automation runbooks, Azure Functions / Logic Apps, ITSM).

Gestão de custosCost management

Uma das principais alterações que enfrentará ao mover da cloud no local para a nuvem pública é o comutador de despesas de capital (ter de comprar hardware) à operação de atribuições de despesas (pagando para o serviço é usá-lo).One of the major changes that you will face when you move from on-premises cloud to the public cloud is the switch from capital expenditure (buying hardware) to operating expenditure (paying for service as you use it). Esta mudança de CAPEX para OPEX também traz a necessidade de gerir mais cuidadosamente os seus custos.This switch from CAPEX to OPEX also brings the need to more carefully manage your costs. O benefício da cloud é que pode fundamentalmente e positivamente afetar o custo de um serviço que utilizar por simplesmente ativá-la desativado (ou redimensionamento) quando não for necessário.The benefit of the cloud is that you can fundamentally and positively impact the cost of a service you use by merely turning it off (or resizing) when it's not needed. Deliberadamente gerir os seus custos na cloud é uma prática recomendada e que os clientes maduros fazer diariamente.Deliberately managing your costs in the cloud is a recommended practice and one that mature customers do daily.

A Microsoft fornece uma várias ferramentas para que possa ser capaz de visual, controlar e gerir os custos.Microsoft provides a several tools for you to be able to visual, track and manage your costs. Também fornecemos um conjunto completo de APIs que lhe permite personalizar e integrar a gestão de custos nas suas próprias ferramentas e os dashboards.We also provide a full set of APIs to enable you to customize and integrate cost management into your own tools and dashboards. Essas ferramentas flexíveis são agrupadas em: Capacidades de Portal do Azure e de recursos externosThese tools are loosely grouped into: Azure Portal Capabilities and external capabilities

Capacidades de Portal do AzureAzure Portal capabilities

Essas são ferramentas para lhe fornecer informações instantâneas em custo, bem como a capacidade de realizar açõesThese are tools to provide you instant information on cost as well as the ability to take actions

  • Custo de recursos de subscrição: Localizado no Portal, o análise de custos do Azure vista fornece uma rápida olhada em seus custos e informações de todos os dias passar por recurso ou grupo de recursos.Subscription Resource Cost: Located in The Portal, the Azure Cost Analysis view provides a quick look at your costs and information on daily spend by resource or resource group.
  • Gestão de custos do Azure: Este produto é o resultado da compra do Cloudyn pela Microsoft e permite-lhe gerir e analisar seu Azure passar também o que gasta em outros fornecedores de Cloud pública.Azure Cost Management: This product is the result of the purchase of Cloudyn by Microsoft and allows you to manage and analyze your Azure spend as well what you spend on other Public Cloud providers. Existem ambos gratuita e escalões pagos, com uma grande variedade de recursos como visto na descrição geral.There are both free and paid tiers, with a great wealth of capabilities as seen in the overview.
  • Azure orçamentos e grupos de ação saber quais custos somethings e fazer algo sobre ele, até recentemente já passaram mais de um exercício manual.Azure Budgets and Action Groups Knowing what somethings costs and doing something about it until recently has been more of a manual exercise. Com a introdução do Azure orçamentos e das respetivas APIs, agora é possível criar ações (como visto na isso exemplo) quando os custos de atingir um limiar.With the introduction of Azure Budgets and its APIs, it's now possible to create actions (as seen in this example) when costs hit a threshold. Por exemplo, encerrar um grupo de recursos de "teste" ao chegar a 100% do seu orçamento ou [outro exemplo].For example, shutting down a "test" resource group when it hits 100% of its budget, or [another example].
  • O Assistente do Azure saber algo os custos que é apenas metade da Batalha; a outra metade é saber o que fazer com essas informações.Azure Advisor Knowing what something costs is only half the battle; the other half is knowing what to do with that information. O Assistente do Azure oferece-lhe recomendações sobre ações a efetuar para poupar dinheiro, melhorar a fiabilidade ou até mesmo aumentar a segurança.Azure Advisor provides you recommendations on actions to take to save money, improve reliability or even increase security.

Ferramentas de gestão de custos externoExternal cost management tools

  • Informações sobre consumo do Azure do Power BI.PowerBI Azure Consumption Insights. Deseja criar suas próprias visualizações para a sua organização?Do you want to create your own visualizations for your organization? Se assim for, em seguida, o pacote de conteúdos do Azure Consumption Insights para o Power BI é sua ferramenta preferencial.If so, then the Azure Consumption Insights content pack for PowerBI is your tool of choice. Utilizar este pacote de conteúdos e o Power BI, pode criar visualizações personalizadas para representar a sua organização, fazer uma análise mais aprofundada sobre os custos e adicionar outras origens de dados para a melhoria do ainda mais.Using this content pack and PowerBI you can create custom visualizations to represent your organization, do deeper analysis on costs and add in other data sources for further enrichment.

  • Consumo de API.Consumption API. O consumo de APIs dão-lhe acesso programático aos dados de custo e a utilização além de informações sobre os orçamentos, instâncias reservadas e encargos do marketplace.The consumption APIs give you programmatic access to cost and usage data in addition to information on budgets, reserved instances and marketplace charges. Essas APIs são acessíveis apenas para inscrições de empresas e algumas subscrições Web Direct, no entanto proporcionam-lhe a capacidade de integrar os dados de custo em suas próprias ferramentas e armazéns de dados.These APIs are accessible only for Enterprise Enrollments and some Web Direct subscriptions however they give you the ability to integrate your cost data into your own tools and data warehouses. Também pode aceder a estas APIs com a CLI do Azure, visto aqui.You can also access these APIs by using the Azure CLI, seen here.

Quando olhamos entre os clientes que utilizaram a cloud por um longo tempo e são "madura" em termos de uso, podemos ver várias práticas altamente recomendadasWhen we look across customers who have used the cloud for a long time and are "mature" in their use, we see a number of highly recommended practices

  • Monitorizar ativamente os custos.Actively monitor costs. As organizações que são os utilizadores do Azure maduros constantemente monitorizar os custos e efetuar ações quando necessário.Organizations that are mature Azure users constantly monitor costs and take actions when needed. Algumas organizações dedicam até mesmo as pessoas para fazer uma análise e sugerir alterações para utilização, e essas pessoas mais de pagam por conta própria pela primeira vez que encontrar um cluster do HDInsight não utilizado de execução durante meses.Some organizations even dedicate people to do analysis and suggest changes to usage, and these people more than pay for themselves the first time they find an unused HDInsight cluster that's been running for months.
  • Utilize as instâncias reservadas.Use Reserved Instances. Outro princípio fundamental para a gestão de custos na cloud consiste em utilizar a ferramenta certa para a tarefa.Another key tenet for managing costs in the cloud is to use the right tool for the job. Se tiver uma VM de IaaS que deve permanecer ligada 24 x 7, em seguida, utilizar uma instância reservada proporcionará economia de dinheiro significativo.If you have an IaaS VM that must stay on 24x7, then using a Reserved Instance will save you significant money. Encontrar o equilíbrio certo entre automatizando o encerramento de VMs e usando o RIs leva a experiência e a análise.Finding the right balance between automating the shutdown of VMs and using RIs takes experience and analysis.
  • Utilizar a automatização com eficiência: Muitas cargas de trabalho não é necessário executar todos os dias.Use automation effectively: Many workloads do not need to be running every day. Até mesmo desativar a uma VM para um período de 4 horas todos os dias pode economizar 15% dos gastos.Even turning off a VM for a 4-hour period every day can save you 15% of your cost. Automatização pagará por si mesma o mais rapidamente.Automation will pay for itself quickly.
  • Utilizar etiquetas de recurso para visibilidade: Como mencionado em outro lugar neste documento, utilizando as etiquetas de recurso permitirá para melhor análise de custos.Use resource tags for visibility: As mentioned elsewhere in this document, using resource tags will allow for better analysis of costs.

Gestão de custos é uma disciplina essencial para o eficaz e eficiente de execução de uma nuvem pública.Cost management is a discipline that is core to the effective and efficient running of a public cloud. As empresas a alcançar o sucesso será capazes de controlar os custos e correspondê-los à sua procura real em vez de overbuying e esperando a pedido é fornecido.Enterprises that achieve success will be able to control their costs and match them to their actual demand as opposed to overbuying and hoping demand comes.

AutomatizarAutomate

Um dos muitos recursos que diferencia a maturidade das organizações que utilizam fornecedores de serviços cloud é o nível de automatização que eles tenham incorporado.One of the many capabilities that differentiates the maturity of organizations using cloud providers is the level of automation that they have incorporated. A automação é um processo sem fim e à medida que sua organização passa para a cloud é qualquer área que terá de investir recursos e tempo no prédio.Automation is a never-ending process and as your organization moves to the cloud it is any area that you need to invest resources and time in building. Automatização serve muitas finalidades, incluindo a implementação consistente de recursos (em que ela vincula diretamente ao conceito de estrutura de núcleos, de outra, modelos e DevOps) para a correção de problemas.Automation serves many purposes including consistent rollout of resources (where it ties directly to another core scaffold concept, Templates and DevOps) to the remediation of issues. A automatização é a "cicatrização connective" scaffold do Azure e liga cada área em conjunto.Automation is the "connective tissue" of the Azure scaffold and links each area together.

Existem várias ferramentas que estão disponíveis como está a desenvolver esta capacidade, da primeira ferramentas de terceiros, como a automatização do Azure, EventGrid e ferramentas do AzureCLI para uma quantidade extensiva de terceiros, como o Terraform, Jenkins, Chef e Puppet (entre outras).There are a number of tools that are available as you build out this capability, from first party tools such as Azure Automation, EventGrid and AzureCLI to an extensive amount of third party tools such as Terraform, Jenkins, Chef, and Puppet (to name a few). Núcleo para sua capacidade da equipe de operações para automatizar são a automatização do Azure, Event Grid e o Azure Cloud Shell:Core to your operations team ability to automate are Azure Automation, Event Grid and the Azure Cloud Shell:

  • A automatização do Azure: É um recurso com base na cloud que permite ao autor Runbooks (no PowerShell ou Python) e permite-lhe automatizar processos, configurar recursos de e até mesmo aplica patches.Azure Automation: Is a cloud-based capability that allows to you author Runbooks (in either PowerShell or Python) and allows you automate processes, configure resources, and even apply patches. A automatização do Azure tem um amplo conjunto de cruzada capacidades da plataforma que integram-se à sua implementação, mas são demasiado extensa para serem abordadas em detalhes aqui.Azure Automation has an extensive set of cross platform capabilities that are integral to your deployment but are too extensive to be covered in depth here.
  • Event Grid: Isto serviço é um sistema de roteamento de eventos totalmente gerido que vamos reagir a eventos no seu ambiente do Azure.Event Grid: this service is a fully-managed event routing system that let's you react to events within your Azure environment. Como a cicatrização connective das organizações de cloud evoluídas a automação é, o Event Grid é a cicatrização connective de automação de bom.Like Automation is the connective tissue of mature cloud organizations, Event Grid is the connective tissue of good automation. Com o Event Grid, pode criar uma ação simples e sem servidor, envie um e-mail para um administrador, sempre que for criado um novo recurso e esse recurso de registo numa base de dados.Using Event Grid, you can create a simple, serverless, action to send an email to an administrator whenever a new resource is created and log that resource in a database. Esse mesmo Event Grid pode notificar quando um recurso é eliminado e remover o item da base de dados.That same Event Grid can notify when a resource is deleted and remove the item from the database.
  • O Azure Cloud Shell: é interativo e baseada no browser shell para gerir recursos no Azure.Azure Cloud Shell: is an interactive, browser-based shell for managing resources in Azure. Ele fornece um ambiente completo para o PowerShell ou Bash é iniciado como necessário (e manter para), para que tenha um ambiente consistente a partir do qual pode executar os seus scripts.It provides a complete environment for either PowerShell or Bash that is launched as needed (and maintained for you) so that you have a consistent environment from which to run your scripts. O Azure Cloud Shell fornece acesso a ferramentas adicionais de chave - já instalada – para automatizar o seu ambiente, incluindo CLI do Azure, Terraform e uma lista crescente de adicionais ferramentas para gerir contentores, bases de dados (sqlcmd) e muito mais.The Azure Cloud Shell provides access to additional key tools -already installed-- to automate your environment including Azure CLI, Terraform and a growing list of additional tools to manage containers, databases (sqlcmd) and more.

A automação é um trabalho em tempo integral e ele irá tornar-se rapidamente uma das tarefas operacionais mais importantes na sua equipa de cloud.Automation is a full-time job and it will rapidly become one of the most important operational tasks within your cloud team. As organizações que usar a abordagem de "primeiro a automatizar" ter um maior sucesso na utilização do Azure:Organizations that take the approach of "automate first" have greater success in using Azure:

  • Gerir custos: ativamente procurando oportunidades e a criação de automatização para redimensionar recursos, / vertical e desativar recursos não utilizados.Managing costs: actively seeking opportunities and creating automation to re-size resources, scale-up/down and turn off unused resources.
  • Flexibilidade operacional: através da utilização de automatização (juntamente com modelos e DevOps), obter um nível de capacidade de repetição que aumenta a disponibilidade, aumenta a segurança e permite que sua equipe se concentrem em resolver problemas de negócio.Operational flexibility: through the use of automation (along with Templates and DevOps) you gain a level of repeatability that increases availability, increases security and enables your team to focus on solving business problems.

Modelos e DevOpsTemplates and DevOps

Como destacado na secção de automatizar, seu objetivo como uma organização deve ser para aprovisionar os recursos através de modelos e controlada por origem e de scripts e para minimizar a configuração interativa dos seus ambientes.As highlighted in the Automate section, your goal as an organization should be to provision resources through source-controlled templates and scripts and to minimize interactive configuration of your environments. Essa abordagem de "infraestrutura como código", juntamente com um processo de DevOps disciplinado para a implementação contínua pode garantir a consistência e reduzir os descompassos em seus ambientes.This approach of "infrastructure as code" along with a disciplined DevOps process for continuous deployment can ensure consistency and reduce drift across your environments. Quase todos os recursos do Azure pode ser implementado através de modelos do Azure Resource Manager JSON em conjunto com o PowerShell ou do Azure e para várias plataformas CLI ferramentas como o Terraform da Hashicorp (que tem suporte de primeira classe e integrado no Azure Cloud Shell).Almost every Azure resource is deployable through Azure Resource Manager JSON templates in conjunction with PowerShell or the Azure cross platform CLI and tools such as Terraform from Hashicorp (which has first class support and integrated into the Azure Cloud Shell).

Como o artigo esse fornecem uma ótima discussão sobre as práticas recomendadas e lições aprendidas na aplicação de uma abordagem de DevOps a modelos do Azure Resource Manager com o do Azure DevOps coleção de ferramentas.Article such as this one provide an excellent discussion on best practices and lessons learned in applying a DevOps approach to Azure Resource Manager templates with the Azure DevOps toolchain. Tire o tempo e esforço para desenvolver um conjunto de principais de modelos específicos de requisitos da sua organização e a desenvolver pipelines de entrega contínua com cadeias de ferramentas de DevOps (por exemplo, o Azure DevOps, Jenkins, Bamboo, Teamcity, Concourse), especialmente para seu produção e ambientes de controle de qualidade.Take the time and effort to develop a core set of templates specific to your organization's requirements, and to develop continuous delivery pipelines with DevOps toolchains (such as Azure DevOps, Jenkins, Bamboo, Teamcity, Concourse), especially for your production and QA environments. Há uma grande biblioteca de modelos de início rápido do Azure no GitHub que pode utilizar como ponto de partida para modelos e pode criar rapidamente pipelines de entrega baseado na nuvem do Azure DevOps.There is a large library of Azure Quick Start templates on GitHub that you can use as a starting point for templates, and you can quickly create cloud-based delivery pipelines with Azure DevOps.

Como melhor prática para as subscrições de produção ou de grupos de recursos, o seu objetivo deve ser utilizando segurança RBAC para não permitir utilizadores interativos por predefinição e a utilização de pipelines de entrega contínua automatizada com base em principais de serviço para aprovisionar todos os recursos e entregar todo o código de aplicação.As a best practice for production subscriptions or resource groups, your goal should be utilizing RBAC security to disallow interactive users by default and utilizing automated continuous delivery pipelines based on service principals to provision all resources and deliver all application code. Nenhum administrador ou programador deve tocar o Portal do Azure para configurar interativamente a recursos.No admin or developer should touch the Azure Portal to interactively configure resources. Este nível de DevOps demora um esforço concentrado e utiliza todos os conceitos de scaffold do Azure e fornece um ambiente consistente e mais seguro que atenderá a suas organizações para aumentar a escala.This level of DevOps takes a concerted effort and utilizes all the concepts of the Azure scaffold and provides a consistent and more secure environment that will meet your organizations to grow scale.

Dica

Ao projetar e desenvolver modelos do Azure Resource Manager complexos, utilize ligado modelos para organizar e refatorar relações de recurso complexas de ficheiros JSON monolíticos.When designing and developing complex Azure Resource Manager templates, use linked templates to organize and refactor complex resource relationships from monolithic JSON files. Isso permitirá que gerir os recursos individualmente e fazer os modelos mais legível, que pode ser testada e reutilizável.This will enable you to manage resources individually and make your templates more readable, testable and reusable.

O Azure é um fornecedor de cloud de hiperescala e como mover a sua organização do mundo dos servidores no local para a cloud, utilizando os mesmos conceitos que Fornecedores e aplicações SaaS na cloud uso fornece à sua organização para reagir a necessidades de negócio em maneira muito mais eficiente.Azure is a hyperscale cloud provider and as you move your organization from the world of on-premises servers to the cloud, utilizing the same concepts that cloud providers and SaaS applications use will provide your organization to react to the needs of the business in vastly more efficient way.

Rede principalCore network

O componente final do modelo de referência do Azure scaffold é essencial para como sua organização acessa o Azure, de forma segura.The final component of the Azure scaffold reference model is core to how your organization accesses Azure, in a secure manner. Acesso a recursos pode ser interno (dentro da rede a corporation) ou externos (por meio da internet).Access to resources can be either internal (within the corporation's network) or external (through the internet). É fácil para os utilizadores na sua organização inadvertidamente colocar recursos no ponto errado e potencialmente abri-los para o acesso malicioso.It is easy for users in your organization to inadvertently put resources in the wrong spot, and potentially open them to malicious access. Tal como acontece com dispositivos no local, as empresas tem de adicionar controlos adequados para garantir que os utilizadores do Azure tomem as decisões certas.As with on-premises devices, enterprises must add appropriate controls to ensure that Azure users make the right decisions. Para a governação de subscrições, podemos identificar recursos principais que permitem controlar básica de acesso.For subscription governance, we identify core resources that provide basic control of access. Os recursos de núcleo consistem em:The core resources consist of:

  • Redes virtuais são objetos de contentor para sub-redes.Virtual networks are container objects for subnets. Embora não seja estritamente necessário, muitas vezes, é utilizado quando a ligação de aplicações para recursos empresariais internos.Though not strictly necessary, it is often used when connecting applications to internal corporate resources.
  • Rotas definidas pelo utilizador permitem que manipule a tabela de rotas dentro de uma sub-rede que lhe permite enviar o tráfego através de uma aplicação virtual de rede ou para um gateway remoto numa rede virtual em modo de peering.User Defined Routes allow you to manipulate the route table within a subnet enabling you to send traffic through a network virtual appliance or to a remote gateway on a peered virtual network.
  • Peering de rede virtual permite que se conecte a duas ou mais redes virtuais do Azure, criar designs de hub-and-spoke mais complexas ou partilhados redes de serviços.Virtual Network Peering enables you to seamlessly connect two or more Azure virtual networks, creating more complex hub-and-spoke designs or shared services networks.
  • Pontos finais de serviço.Service Endpoints. No passado, os serviços de PaaS contavam com diferentes métodos para proteger o acesso a esses recursos das suas redes virtuais.In the past, PaaS services relied on different methods to secure access to those resources from your virtual networks. Pontos finais de serviço permitem-lhe acesso seguro aos serviços de PaaS ativados de apenas ligado pontos de extremidade, aumentando a segurança geral.Service endpoints allow you to secure access to enabled PaaS services from ONLY connected endpoints, increasing overall security.
  • Grupos de segurança são um amplo conjunto de regras que fornecem a a capacidade de permitir ou negar o tráfego de entrada e saído para/de recursos do Azure.Security groups are an extensive set of rules which provide you the ability to allow or deny inbound and outbound traffic to/from Azure Resources. Grupos de segurança consistem em regras de segurança, que podem ser aumentados com etiquetas de serviço (que definem os serviços do Azure comuns, como o Cofre de chaves do Azure, base de dados do Azure SQL e outros) e grupos de aplicações (que definir e aplicativo estruturar, tais como servidores web ou servidores de aplicação).Security Groups consist of Security Rules, which can be augmented with Service Tags (which define common Azure services such as Azure KeyVault, Azure SQL Database, and others) and Application Groups (which define and application structure, such as web servers or app servers).

Dica

Utilizar etiquetas de serviço e os grupos de aplicações nos seus grupos de segurança de rede para não apenas melhorar a legibilidade de suas regras — que é crucial para o impacto de compreensão — , mas também para ativar microsegmentation eficaz dentro de uma sub-rede maior , reduzindo a expansão e aumenta a flexibilidade.Use Service tags and Application groups in your network security groups to not only enhance the readability of your rules — which is crucial to understanding impact — but also to enable effective microsegmentation within a larger subnet, reducing sprawl and increasing flexibility.

Datacenter virtualVirtual Data Center

O Azure disponibiliza capacidades internas e capacidades de terceiros da nossa rede de parceiros abrangente, que permitem que tenha uma postura de segurança efetivas.Azure provides you both internal capabilities and third-party capabilities from our extensive partner network that enable you to have an effective security stance. Mais importante, a Microsoft fornece as práticas recomendadas e diretrizes na forma do Centro de dados do Azure Virtual.More importantly, Microsoft provides best practices and guidance in the form of the Azure Virtual Data Center. Quando migra a partir de uma única carga de trabalho para várias cargas de trabalho que tiram partido de capacidades híbridas, a documentação de orientação de VDC fornecerá "receita" para ativar a uma rede flexível, que irá aumentar à medida que aumentam as cargas de trabalho no Azure.As you move from a single workload to multiple workloads which leverage hybrid capabilities, the VDC guidance will provide you with "recipe" to enable a flexible, network that will grow as your workloads in Azure grow.

Passos SeguintesNext steps

Governação é crucial para o sucesso do Azure.Governance is crucial to the success of Azure. Este artigo destina-se a implementação técnica de uma estrutura de enterprise, mas só aborda o processo e as relações entre os componentes mais ampla.This article targets the technical implementation of an enterprise scaffold but only touches on the broader process and relationships between the components. Governação da política fluem de cima para baixo e é determinada pelo que a empresa quer alcançar.Policy governance flows from the top down and is determined by what the business wants to achieve. Naturalmente, a criação de um modelo de Governança para o Azure inclui representantes de IT, mas o mais importante é que ele deve ter representação forte de líderes de grupos de negócios e gestão de risco e segurança.Naturally, the creation of a governance model for Azure includes representatives from IT, but more importantly it should have strong representation from business group leaders, and security and risk management. No final, uma estrutura de enterprise é sobre como mitigar o risco de negócios para facilitar a missão e os objetivos da organizaçãoIn the end, an enterprise scaffold is about mitigating business risk to facilitate an organization's mission and objectives

Agora que aprendeu sobre governação de subscrições, chegou a hora para ver estas recomendações na prática.Now that you have learned about subscription governance, it's time to see these recommendations in practice. Ver exemplos para implementar a governação de subscrições do Azure.See Examples of implementing Azure subscription governance.